Nova različica trojanca 'Faketoken' ogroža uporabnike androidnih aplikacij

01.09.2017
Objavil: Dare Gliha

Trg mobilnih aplikacij raste, z njim pa tudi število storitev, ki za delovanje zahtevajo in shranjujejo pomembne uporabnikove finančne podatke. Raziskovalci v družbi Kaspersky Lab so odkrili novo različico dobro poznanega mobilnega trojanskega konja 'Faketoken'. Ta lahko krade bančne podatke v priljubljenih mobilnih aplikacijah za naročanje taksijev in souporabo vozil.

Z namestitvijo aplikacij na milijone naprav z operacijskim sistemom Android se povečuje tudi privlačnost uporabnikov za napade kibernetskih kriminalcev. Ti so dodobra izboljšali delovanje zlonamerne programske opreme za mobilne naprave. Med potencialno donosnimi aplikacijami za nepridiprave so tudi tiste, ki omogočajo naročanje taksijev in souporabo vozil ter zahtevajo uporabnikove podatke o veljavni bančni kartici.

Nova različica zlonamerne programske opreme 'Faketoken' v realnem času spremlja delovanje aplikacij. Ko uporabnik zažene aplikacijo, trojanski konj prikaže pojavno okno za ribarjenje z namenom kraje bančnih podatkov svoje žrtve. Zlonamerni program ima na videz enak vmesnik, z enakimi barvnimi shemami in logotipi, ki takoj in popolnoma »prekrije« prvotno aplikacijo. Po rezultatih raziskave družbe Kaspersky Lab nepridipravi s to zlonamerno programsko opremo ogrožajo aplikacije priljubljenih mednarodnih ponudnikov storitev za naročanje taksijev in souporabo vozil.

Trojanski konj s preusmerjanjem na lasten kontrolni strežnik (angl. command and control server) prestreza kratka dohodna sporočila. S tem kriminalcem omogoči dostop do enkratnih bančnih gesel ali drugih sporočil ponudnika neke storitve, ki jo uporabnik prejme v kratkem sporočilu na mobilno napravo. Prav tako lahko ta različica trojanskega konja nadzoruje še uporabnikove klice in jih snema ter prenaša podatke na kontrolne strežnike.
Možnost prekrivanja je mogoče zaslediti na številnih mobilnih aplikacijah. V letu 2016 je družba Kaspersky Lab poročala o različici trojanskega konja 'Faketoken', ki je napadel več kot 2.000 finančnih aplikacij po vsem svetu in se pri tem prikazoval kot različni programi ali igre. Na primer, pogosto je posnemal Adobe Flash Player. Od takrat so napadalci 'Faketoken' razvijali naprej in še povečali geografsko razsežnost njegovega delovanja.

»Kibernetski kriminalci so razširili svoje aktivnosti s finančnih aplikacij na druga področja, vključno na storitve taksijev in souporabe vozil. Ta premik pomeni, da morajo ponudniki storitev posvečati več pozornosti zaščiti uporabnikov svojih aplikacij. Bančna industrija se je že soočila s prevarantskimi shemami in triki. Odzvala se je z vključevanjem varnostnih tehnologij v svoje aplikacije in tako bistveno zmanjšala tveganje za krajo ključnih bančnih podatkov uporabnikom. Morda je nastopil čas za ponudnike drugih storitev, ki rokujejo z bančnimi podatki, da sledijo bančni industriji. Nova različica trojanskega konja 'Faketoken' sicer napada predvsem ruske uporabnike. Kljub temu pa se lahko v prihodnosti geografska prisotnost napadov razširi. Ta trend smo v preteklosti že opazili, tako pri prejšnjih različicah tega trojanca kot drugih bančnih zlonamernih programih,« je izpostavil Viktor Chebyshev, varnostni strokovnjak v družbi Kaspersky Lab.

Raziskovalci so zaznali napade trojanskega konja 'Faketoken' tudi na druge priljubljene mobilne aplikacije, denimo tiste za rezervacijo potovanj in namestitev ter plačilo glob za prometne prekrške, pa tudi na platformo Android Pay in tržnico Google Play. Za zaščito pred trojanskim konjem 'Faketoken' in drugimi grožnjami za operacijski sistem Android družba Kaspersky Lab uporabnikom priporoča prenos aplikacij le od znanih virov in uporabo zanesljive varnostne rešitve na mobilni napravi, kot je 'Kaspersky Mobile Antivirus: Web Security & Applock'.